Wireshark教程之高级功能

实验目的

1、工具介绍

2、主要应用

实验原理

1、网络管理员用来解决网络问题

2、网络安全工程师用来检测安全隐患

3、开发人员用来测试执行情况

4、学习网络协议

实验内容

1、数据流追踪功能

2、协议分层统计

3、会话统计

4、网络节点

5、数据包长度统计

6、图表分析-IO Graph

7、图表分析-Flow Gragh

实验环境描述

1、学生机与实验室网络直连;

2、VPC1与实验室网络直连;

3、学生机与VPC1物理链路连通；

pc机：Windows7旗舰版密码：123456

实验步骤

1、首先打开Wireshark工具认识主界面：Capture包含一些常用选项Interface List 网卡列表、Capture Options其他配置选项。Files：Open打开抓包的文件。以及Online在线帮助，用户手册，官网信息

数据流追踪功能

1、数据流追踪将tcp、udp、ssl等数据流进行重组并完整呈现出来analyze–>follow tcp stream

协议分层统计

1、协议分层设计统计通信流量中不同协议占用额百分比，通过这个工具可以对全网流量有直观的了解，到底整个网络那些流量占用最多，那些占用最少等等。打开statistics–>protocol hierarchy

2、协议栏，数据包分析，数据包个数，字节百分比，字节个数，速度，最终包数量，最终字节数量，最终速度等。图中我们可以看出，Ethernet的流量包括IPv4和ipv6，ipv4包括udp和tcp，这几个分项的和就是以太网百分百的流量

3、在网络异常的时候，通过分析这些数据包占用的流量我们可以判断网络问题，如图这是一个正常的网络占用百分比，例如网络发生了ARP攻击，那么ARP在这里的占用也许会显示20％或者30％ (可在本地自行查看）

会话统计

1、回话统计功能，统计通信会话之间接收和发送的数据包和字节数，通过这个工具可以找出网络中哪个会话（IP地址或端口号）最占用带宽，进一步作出网络策略。打开statistics–>conversations

2、Ethernet以太网统计功能包括：mac通信统计，通信序包数，通信字节数；IPv4统计功能包括：IP通信统计，查看通信包数量，字节数；ipv6统计；tcp统计包括：源IP源端口，目的IP目的端口，查看包数量；udp会话统计包括：源IP源端口，目的IP目的端口，查看包数量

3、在tcp、udp里还提供了流追踪，图形化A->B，图形化B->A

网络节点

1、网络节点功能，统计通信会话中每个节点接收和发送的数据包和字节数，通过这个工具可以找出网络中哪个节点（IP地址或端口号）最占用带宽。打开statistics–>endpoints

2、如下图所示，终端节点统计是面向IP的，可以查看具体某一个IP发送的流量以及占用带宽

数据包长度统计

1、统计数据流中包长度的分布。打开statics–>packet lengths

2、这里进行全局统计，点击create stat。管理员可以根据自己网络情况添加过滤条件

3、显示按照长度划分的序包。大部分包的正常长度为40~5119。例如，网络中有一种小型帧或巨型帧的攻击方式，利用发送数据包小于40或大于5119的包进行攻击，这时候可以在这里查看数据包长度统计观察这些异常包的百分比，找出网络问题

图表分析-IO Graph

1、IO Graph对网络中的吞吐量进行实时图形显示。在wireshark抓包过程中打开statistic–>IO Graph

2、IO图表展示了吞吐量过程，X轴表示时间流，y轴表示数据包，图表默认情况下统计网卡的吞吐量

3、Craphs默认允许展示五条报表，例如在filter 过滤器中输入http查看http在网络中占用的吞吐量，点击Graph2，显示出一条红色的波线就是http图表的吞吐量。管理员可以根据网络环境，在filter过滤器中添加更多的过滤条件

图表分析-Flow Gragh

1、Flow Gragh 数据流图，将会话通信过程图形可视化出来。打开statistics–>flow graph

2、选择all对所有的包进行图表分析，displayed packets对过滤出来的包进行图表分析

3、图表分析界面，扫描时间点，源IP，目的IP，具体包内容都以图形化的方式显示出来